El malware Flashback infecta a más de 600.000 Macs en el mundo
Probablemente estemos ante el troyano más grande en torno a Mac que hayamos visto a tenor de las cifras que están comenzando a circular. Aunque Apple emitió un parche de seguridad para Java en el día de ayer, según la compañía de antivirus Dr. Web, más de 600.000 Macs están infectados con el troyano Flashback. Se trataría de un paquete demalware diseñado para robar información personal de los usuarios una vez ha entrado en los equipos.
De los equipos infectados y según la firma de seguridad, más de la mitad (57%) se encontrarían en Estados Unidos (274 con base en Cupertino), un 20% en Canadá y el resto repartido en el mundo como vemos en la imagen con la que abrimos.
Flashback se abría encontrado en septiembre del 2011 y se trata de un troyano que se hace pasar por una actualización del plugin de Adobe Flash Player, una detección que no ha evitado su desarrollo en los últimos meses evolucionando para explotar las vulneraciones de Java y atacando los sistemas.
¿Y cómo se propagó? Desde Apple ya se ha emitido una serie de parches para paliar su infección pero como apuntan en Cnet, su método de propagación resultaba de la visita a webs con el applet Java malintencionado, lo que acabaría en la ejecución arbitraria de código con los privilegios del usuario actual. Una vez instalado, Flashback inyecta código en los navegadores web u otras aplicaciones como Skype para recolectar contraseñas e información personal de los usuarios.
La firma F-Secure informaba de una serie de pasos para saber si tu equipo está o no infectado, además recomendaba que:
Se actualice el cliente Java a la ultima versión, deshabilitarlo cuando no sea necesario, o mejor aún, eliminarlo por completo si realmente no lo necesitas.
El parche que Apple ha ofrecido hace unas horas está disponible en OS X 10.6 y 10.7 desde el administrador de actualizaciones.
Falsa extensión de Chrome ataca a los usuarios de Facebook
El nacimiento de las extensiones se remonta a la necesidad que vieron los navegadores de ofrecer algo nuevo para mejorar la experiencia de los usuarios en la Red. Debido a la popularidad que han adquirido estas herramientas, parece que ahora son el nuevo blanco de los delincuentes informáticos.
Recientemente en la tienda oficial de Google Chrome apareció una extensión maliciosa con la que los delincuentes pueden controlar el perfil de Facebook de los usuarios que la instalan en su equipo. A través de un reporte de Kaspersky Lab se pudo determinar que se trata de una falsa de Adobe Flash Player, que está alojada en los servidores de Google.
De acuerdo con los ejecutivos de Kaspersky, las extensión descarga un script que distribuye spam entre sus amigos de Facebook, hace clic en ‘Me gusta’ en diferentes páginas de la red social e invita a sus contactos a instalar extensiones maliciosas de Chrome en sus navegadores.
Según comentó el ejecutivo de Kaspersky Fabio Assolini, en el blog oficial de la compañía, países como Brasil han registrado en los últimos meses un incremento en las estafas de Facebook que utilizan extensiones maliciosas de Google Chrome. La compañía de antivirus ha venido siguiéndole la pista a la falsa extensión de Adobe, identificada como Trojan.JS.Agent.bxo, desde el 6 de marzo, fecha en la que ya había infectado a 923 usuarios.
“Nosotros informamos a Google de la existencia de esta extensión maliciosa y ellos la eliminaron rápidamente. Sin embargo, hemos notado que los delincuentes detrás de este plan malicioso están cargando nuevas extensiones con frecuencia, como en un juego del gato y el ratón“, dijo Assolini.
El ejecutivo también habló de cómo los delincuentes encontraron la manera de monetizar el negocio del secuestro virtual de las cuentas de Facebook. Al tener el control total del perfil de los usuarios, estas personas crearon una forma de vender los ‘Me gusta’ en la red social.
Como saben, al igual que con los seguidores de Twitter, las compañías que tienen cuentas en las redes sociales se preocupan por darse a conocer y propagar su marca consiguiendo un número grande de seguidores. Es así como los delincuentes venden, por ejemplo, un paquete de 1000 clics o “Me gusta” en unos 27 dólares.
Nuevo malware se propaga a través de Facebook e infecta a miles de usuarios
Facebook se ha convertido en una fuente inagotable para la propagación de malware. En esta ocasión conocemos un caso que ha afectado a más de 60.000 usuarios. Bajo el reclamo de una noticia sobre el inicio de la Tercera Guerra Mundial, los usuarios son redirigidos a una web donde quedan infectados.
El último caso que hemos conocido utiliza otro gancho morboso para ganarse la confianza de los más incautos. Un falso enlace a la supuesta web del canal estadounidense CNN avisa de un inminente ataque militar de Estados Unidos contra Irán y Arabia Saudí, en lo que supondría el teórico inicio de la Tercera Guerra Mundial. El blog Sophos, de Naked Security, avisa de esta amenaza, puesto que al pulsar en dicho enlace el usuario es redirigido a una web falsa con la apariencia del citado medio de reconocido prestigio mundial.
En dicha web se intenta atraer la atención de las víctimas con supuestos vídeos sobre el citado conflicto. Sin embargo, para poder visualizarlos al pulsarlos se pide a los usuarios que instalen una supuesta actualización de Adobe Flash Player, momento en el que se descarga e instala el archivo malicioso, detectado como “Troj / Rootkit-JV”. Al tratarse de un rootkit, entraña los riesgos de este tipo de malware, convirtiendo el ordenador infectado en una fuente para que los intrusos puedan extraer de él todo tipo de información sin el permiso del usuario o ejecutar acciones de forma remota.
El ritmo de propagación del malware ha sido muy alto, ya que según alerta la empresa de seguridad, más de 60.000 usuarios han sido engañados en apenas tres horas. Sophos ha señalado que el código malicioso instalado en los ordenadores de los usuarios está enviando el mensaje a Facebook sin que los usuarios lo sepan, de modo que sus contactos son víctimas potenciales de este archivo.
Más de un millón de sitios afectados por un ataque
Lilupophilupop es el nombre de la nueva amenaza que ya afectaría a más de un millón de páginas web. Este ataque se produce al introducir una línea de código dentro del sitio con la instrucción de redireccionar a la víctima a un sitio donde se le insta a descargar una versión falsa de Adobe Flash Player o incluso antivirus aparentemente legítimos. En realidad estos programas contienen malware que de instalarse afectaría al sistema del usuario.
En el último mes este ataque de inyección de código SQL ha experimentado un crecimiento más que notable. De 80 sitios infectados se ha pasado a más de un millón en solo un mes, aunque el método de contabilizarlo no es del todo fiable, ya que no se separa los sitios infectados de las webs en las que solo se hable del ataque. A través del código SQL se introduce el script Lilupophilupop dentro del código de JavaScript de las páginas web. Este script es el que envía al usuario a las páginas vulneradas y le insta a realizar la descarga de los falsos programas.
Los investigadores temen que este ataque esté automatizado o al menos parcialmente automatizado, lo que podría provocar que el número de sitios afectados aumentara considerablemente en los próximos meses. Los sitios más afectados son aquellos propios de Holanda (con el dominio .nl), aunque también se han detectado dominios de otros países y algunos sitios .org y .com.
Para saber que sitios pueden estar sufriendo este ataque, y para saber si tu propio sitio es uno de los atacados, basta con buscar en Google un parametro como vemos en la imagen de abajo. En caso de aparecer en los resultados de búsqueda el sitio tendrá todos los papeles para ser uno de los afectados. Aunque el ataque ya ha adquirido proporciones alarmantes, algunos analistas han instado a mantener la calma hasta que se realice una investigación más en profundo sobre su alcance real.
